Vmware软件提供了虚拟机加密设置,如果在打开虚拟机时如提示输入密码,则此时的虚拟磁盘文件已加密,将无法访问此虚拟机内的任何数据,也无法分析出任何有效证据。![【解密 】Vmware虚拟磁盘文件]( "【解密 】Vmware虚拟磁盘文件")
解决这个问题之前,先介绍一下vmx文件,vmx文件是虚拟机系统的配置文件。(注意:刚刚安装好VMware Workstation是找不到这个文件的,当你在VMware Workstation中建立了一个虚拟机以后,这个文件才会出现。)该文件用来记录你建立的虚拟机的配置,比如多大的内存、什么型号的硬盘等等。通常通过打开这个虚拟机文件以启动系统。同样,我们通过编辑它还可以实现某种配置需求,可以用文本工具将其打开。既然是配置文件,及有可能会保存虚拟机的密码。
下面我们来观察一下,加密前与加密后vmx文件的变化。vmx文件位于创建的虚拟机的根目录下,我们可以看到,未加密的vmx文件是明文显示的,显示了这个虚拟机的显示名称、CPU配置、内存配置等等。下图是为未加密的vmx文件。
![【解密 】Vmware虚拟磁盘文件]( "【解密 】Vmware虚拟磁盘文件")
加密后的vmx如下图所示,明文内容全部加密显示,无法知悉该虚拟机的任何信息,并且多了keySafe内容,虚拟机的密码就存在这里,如下图:
通过URL解码后,得知这个虚拟机的加密算法、哈希值类型等,如下图:
介绍到这,想必大家也有了自己的思路,下面笔者介绍两个解决这个问题的方法:
1. 替换法
首先,新建一个和之前系统一样的虚拟机,配置随意,然后找到保存配置的目录,复制.vmsd、.vmx 过去覆盖,然后打开该虚拟机(不是启动!),删掉之前的磁盘,加载加密过的磁盘,直接就可以用了(经过试验验证,完全通过)。
2. 破解法
很可惜的是hashcat目前并不支持这个破解,但是功夫不负有心人,笔者还是找到了用于破解密码的工具,可以进行暴力破解。破解过程如下,首先将要破解的vmx文件拷贝到与破解工具同目录下。为方便将vmx文件重新命名为1.vmx,然后运行破解脚本。经过实测,6位数字密码秒破。笔者使用的Vmware Workstation的版本为15.5.1 。
![【解密 】Vmware虚拟磁盘文件]( "【解密 】Vmware虚拟磁盘文件")
![【解密 】Vmware虚拟磁盘文件]( "【解密 】Vmware虚拟磁盘文件")
注意:如果您没有获得之前的vmsd、vmx文件,很遗憾的告诉您,恐怕永远无法解密vmdk 文件了。
来源:取证者联盟 王晓明
![【解密 】Vmware虚拟磁盘文件]( "【解密 】Vmware虚拟磁盘文件")
VMware中ubuntu忘记密码的解决办法
评论